セッション4 攻撃可能性から見る「サイバーリスク評価」の実践

私たちはサイバーリスクをどのように評価し、管理していくべきでしょうか。PwCあらた有限責任監査法人パートナー綾部泰二が、事例も含めながらサイバーリスクの評価や管理手法について紹介しました。

PwCあらた有限責任監査法人パートナー綾部泰二

サイバーセキュリティはリターンが見込みづらい

サイバーセキュリティ対策への投資は「リターン」という効果が見込めないため、なかなか進まないといわれます。そもそもサイバーセキュリティ対策のリターンとは、「何もおきない」ことです。何も困ることが発生しないことが本来得られている投資効果なのです。ただ、具体的に効果が見えないこともあって、「本当に投資が必要なのか？」という話になりがちです。

そのためにも、サイバーリスクに対してどこまで対応できているかを可視化して評価する「サイバーリスクの評価」を行うことが必要となります。

自社を取り巻くサイバーセキュリティリスクを客観的に評価すること（以下、『サイバーリスク評価』）を行うことで、サイバーセキュリティの投資対効果を可視化するとともに、＜説明責任＞を果たすことが可能となります。

【図1】効果的な投資に向けて～「サイバーリスク評価」

サイバーリスクにどう対応できているかを説明できることは、ビジネスリスクに対してどのように対応できるか、経営層の説明責任を果たすことにもなります。これはサイバーリスクを評価する目的のひとつでもあるのです。

サイバーリスク評価は「守れないこと」を前提とする

サイバーリスクに対して、どのような視点で評価をするべきなのでしょうか。従来の一般的なリスク評価とは、情報資産を「守る」ことを重要視してきました。しかしサイバーリスクは情報資産を「守れないこと」を前提に考える必要があります。

技術の著しい進化のなかでサイバー攻撃の手段も常に進化しています。ある時点で自社のサイバーリスクへの対応が十分だとしても、明日にはそれを超える技術が生み出され、守りも突破されてしまうかもしれません。こうしたリスク認識に立つと、マルウェアが自社に侵入しないように守りを固め続けることはほぼ不可能だといえます。そのような意味で、「情報資産を守る」という観点より、「守れなくなっている」という観点を持ってリスクを考えていくことが重要になってきます。

【図2】コンセプト～「守ること」から「守れないこと」への視点転換

このような前提に立ったときにキーになるものが「残余リスク」です。企業としてどこまでリスクを許容するのか、インシデントが発生したときに業務を止めることは許容できるのか、こうした判断は経営レベルでの意思決定が必要です。サイバーリスクの評価は事業継続性の問題と不可分であり、経営層が適切に関与していない限り、残余リスクを適切に管理することはできません。

攻撃者の視点で「未知」のリスクに向き合う

残余リスクは、攻撃を受ける可能性、または手段の容易度と結びつけて評価する必要があります。仮に悪意ある外部者からサイバー攻撃を受けて残余リスクが顕在化した場合、そのリスクは自社のビジネスにとって受容可能なのかという点を評価します。

このような評価のためには、一般的なリスク評価で活用する既知の経験則やナレッジのみでは十分ではありません。これらに加え、ビジネス環境や最新の外部技術の変化など、「未知」の情報を取り込む必要があります。その上で既知の情報源に支えられた守る側の視点ではなく、「未知」なる変化の予兆に向き合い、攻撃者の視点で自社のリスクを考えるのです。

例えば、IoTやAIなど新しいテクノロジーを自社のサービスに利用する場合、まだ利用企業が少ないこともあり、どのような脅威が内在しているかは未知数です。また、外部ネットワークを介して自社と結びついているビジネスパートナーが新しいテクノロジーを用いてサービスを開始した場合、それは自社にとっては外部からの攻撃可能性が増大したという観点で考える必要があります。ビジネス上の付き合いが仮にあっても、他社が新しいサービスにどのような技術を用いるかを事前に教えてくれることはありません。

「未知」とは、こうした意味も含めた幅広い概念になります。このような観点より、自社としてどのような残余リスクを許容するのか検討するとともに、サイバーリスクの管理も行う必要があります。

サイバーセキュリティポートフォリオ

それでは実際にどのようにサイバーリスクを評価していくべきなのでしょうか。PwCには「サイバーセキュリティポートフォリオ」という概念があります。これはサイバーリスクへの対応を特定・防御・検知・対応・回復という時間軸（プロセス）で整理するとともに、各軸において経営層から現場部門までが取り組むべきリスク管理対策を階層的に整理したものです。これを基に、各軸における対策がバランスよく講じられているか、どの範囲を改善すべきなのかなどを可視化した上で把握することを可能にします。

【図3】サイバーセキュリティポートフォリオ

具体的な一例を紹介します。このポートフォリオに基づき、ある企業のサイバーリスクの管理状況を評価したところ、IT部門の管理範囲はおおむね問題がなかった一方、IT部門以外の範囲で多数の課題が検出されました。

この企業はサイバーリスクに対する経営層による関与・認識に問題があったことが分かりました。具体的には、サイバーセキュリティはIT部門の責任という考えが浸透していたため、その他の部門による取り組みが十分に行われていない状況でした。このような結果をポートフォリオに基づき経営層へ報告したところ、その企業はセキュリティ予算の確保やCISOの設置など、経営層による対応を積極的に行うようになりました。

経営層の取り組み上の問題は内部からは指摘しづらいものではあります。そのような場合は、独立した外部の第三者によるサイバーリスク評価を通して経営層へ提言を行う、というアプローチも有効です。

サイバーリスクを考える上で大事なエッセンス

サイバー攻撃を確実に防御することは不可能です。そのためにも一般的なリスク評価を確実に行うことに加え、そこで識別された残余リスクを対象として、「未知」の予兆を取り込みながら、攻撃者の視点で現在の管理対策に潜む攻撃の容易性を検討する必要があります。これがサイバーリスクを評価し、管理するために重要なアクションとなります。必ずしも攻撃の容易性だけに着目するのがサイバーリスクの評価ではありませんが、攻撃手段の流通度や実行可能性などはサイバーリスクの評価軸として含めておくべきでしょう。

上述のサイバーセキュリティポートフォリオを元に、自社ではどの範囲を強化すべきかなどを可視的に管理し、経営層にも分かりやすく認識していただくことで、サイバーリスクへ効果的に対応できる体制を作っていただければと思います。

本セッションについてのご質問やご相談、資料などをご希望の方は、ページ末尾の「Contact Us」より、お問い合わせください。

訓練の実施で対応力をつけていく